lunedì 2 gennaio 2012

Come Funziona Il Rootkit Mebroot


In circolazione dal 2006 Mebroot(anche noto come “Sinowal” o “Torpig”) è stato capace di collezionare qualcosa come più di 270mila credenziali di account bancari online e circa 240mila numeri di carte di credito. Prendendo di mira le macchine basate su sistemi operativi Windows, rivela il FraudAction Research Lab di RSA, il malware ha permesso a una singola gang del cyber-crimine di agire indisturbata per anni con una costanza che solo raramente è stato possibile osservare in altre occasioni.
La caratteristica “vincente” del malware è quella di essere totalmente invisibile al sistema ospite colpito dall’infezione: non solo Mebroot si inietta nel Master Boot Record(il settore zero dell’hard disk, seguito prima ancora di qualsiasi sistema operativo Windows, Linux o quant’altro) per garantirsi l’avvio a ogni sessione, ma arriva al punto di non modificare in alcun modo i file o i settori della partizione su cui l’OS colpito risiede, copiando invece il corpo principale del proprio codice in settori e tracce del disco inutilizzati.

Nessun commento:

Posta un commento